Шпионы с винчестером
«Лаборатория Касперского» объявила о раскрытии изощренной схемы кибершпионажа, при которой шпионское программное обеспечение, в частности, пряталось в микропрограммы жестких дисков, выпускаемых 12 основными мировыми производителями: Western Digital, Seagate, Toshiba и др. Кибергруппа, которую исследователи назвали Equation Group, ведет свою деятельность на протяжении почти 20 лет и ее действия затронули тысячи, а возможно, и десятки тысяч пользователей в 30 странах мира, говорится в сообщении «Лаборатории». Больше всего случаев заражения было отмечено в Иране, затем - в России, Пакистане, Афганистане, Китае, Мали, Сирии, Йемене и Алжире. Целями кибершпионажа становились правительственные и военные структуры, телекоммуникационные и энергетические компании, банки, физики-ядерщики, СМИ и исламские активисты.
Инфраструктура Equation Group включает в себя более 300 доменов и 100 контрольно-командных серверов, расположенных в разных странах, в частности в США, Великобритании, Италии, Германии, Нидерландах, Панаме, Коста-Рике, Малайзии, Колумбии и Чехии. Сейчас «Лаборатория Касперского» контролирует около 20 серверов группы, говорится в сообщении.
Выявленное программное обеспечение близко к компьютерному червю Stuxnet, который в 2010 г. заразил компьютеры на первой АЭС Ирана в Бушере. По информации газеты The New York Times, атаки Stuxnet проводились по приказу президента США Барака Обамы, официальные представители США это отрицали. У Equation Group «тесные связи» с создателями Stuxnet, считают аналитики «Лаборатории», но впрямую не упоминают в своем исследовании Агентство национальной безопасности (АНБ) США.
Бывший сотрудник АНБ сказал Reuters, что выводы «Лаборатории Касперского» правильны и что те, кто до сих пор работает в АНБ, высоко ценят и эти шпионские программы, и Stuxnet. Еще один бывший сотрудник разведслужбы подтвердил, что в АНБ придумали способ скрывать шпионское ПО в жестких дисках, но он не знает, где именно оно могло применяться. Представитель АНБ Вейни Вайнз сказала, что ведомство проинформировано о выводах исследования «Лаборатории Касперского», но комментировать их публично не будет.
Доклад компании может нанести урон возможностям АНБ, уже понесшего серьезный ущерб после ряда утечек информации о его работе, которые стали результатом кражи информации и ее публикации Эдвардом Сноуденом. Бывший сотрудник ЦРУ, который затем работал с АНБ по контракту, сбежал из США и сейчас находится в России.
В год по шпиону
Ровно год назад «Лаборатория Касперского» сообщила о раскрытии сети кибершпионажа, которая атаковала госструктуры, посольства, энергетические и нефтегазовые компании в 31 стране. Ответственность за эти действия может лежать на крупной частной или правительственной организации, считали в «Лаборатории», трудозатраты на проведение атак там оценили в миллионы долларов. Шпионскую киберсеть сопоставимых масштабов, следившую за дипломатическими, правительственными и научными организациями в разных странах, «Лаборатория Касперского» раскрыла и в 2013 г. Целью злоумышленников (в тот раз китайских) тогда были в основном страны СНГ и Восточной Европы, в том числе Россия.
Доклад «Лаборатории Касперского» показывает, что любой стране важно сначала оценить возможный ущерб от шпионажа для дипломатических и торговых отношений с другими странами, прежде чем использовать для сбора данных наработки своих компьютерных специалистов, заявил Reuters один из пяти членов группы по разведке и технологиям связи при президенте Обаме - Питер Суайр.
Исследователь «Лаборатории Касперского» Костин Райю рассказал, что шпионский код внедрялся в микропрограмму жесткого диска и она запускалась при каждом включении компьютера, так что могла заражать машину неоднократно. Хотя из разоблачений Сноудена следовало, что АНБ могло осуществлять массовый перехват данных или прослушку, это конкретное ПО устанавливалось только на отдельных компьютерах, представлявших для Equation Group особый интерес. Как именно распространители шпионского ПО получили доступ к программам жестких дисков, не ясно. Представитель Western Digital Стив Шэттак заверил, что компания такого доступа американским правительственным структурам не предоставляла.
«Лаборатория Касперского» впервые в своей практике обнаружила модули, которые позволяют перепрограммировать операционную систему жестких дисков 12 основных производителей», - говорится в пресс-релизе компании. Там объясняют, что внедренное в операционную систему жесткого диска шпионское ПО остается там навсегда: «его невозможно ни обнаружить, ни избавиться от него» даже путем форматированного диска. Кроме того, у атакующих есть возможность создать себе тихую гавань в виде секретного хранилища, где может безопасно собираться вся необходимая информация, говорится в сообщении «Лаборатории». Equation Group также использует червя Fanny, который позволяет злоумышленникам с помощью USB-флешек получать данные с компьютера, даже если он отключен от глобальной сети.
Представители Western Digital, Seagate Technology и Micron Technology заявили Reuters, что им ничего не известно об использовании шпионского ПО с их продукцией. Toshiba и Samsung от комментариев отказались. IBM не ответила на запрос Reuters.
Использованы материалы Reuters